On Fri, 27 May 2005, lonely wolf wrote:
>> > cih. tunel in tunel? eventual foloseste ssh -L/-R intre masinile de la > capetete tunelului :) > pai tocmai asta spuneam ca nu sunt 2 tunele. este un tunnel gre prin care circula trafic cryptat ipsec. > merge f bine daca filtrezi si dupa IP-uri, nu numai dupa tipul de > trafic. iptables -j MARK rulz. > corect > incapsularea unui protocol in alt protocol (GRE in ah/esp) e o solutie, > dar departe de a fi cea mai buna. ma rog, poate e cea mai buna in > cazurile altora, mie mi s-a parut shitty. plus ca depinzi de > posibilitatea de a controla ambele capete ale conexiunii. Ce te faci > cind un capat de ipsec e la tine, dar celalalt e la altcineva, care are > de pilda cisco/CP/stonegate iar tu ai zero control acolo ? (da, stiu ca > si cisco stie de tunele GRE.. dar cind ai un concentrator VPN la care > ti se leaga citeva zeci/sute/mii de insi, s-ar putea sa nu fii de acord > ca pt unul anume sa faci setari speciale, doar fiindca ala vrea gre over > esp) > de fapt e ah/esp incapsulat prin gre (pentru ca ipsec-ul il faci intre captele tunnelului gre) cand faci ipsec cu alte echipamente nu ridici interfete. din cate am vazut eu pana acum cisco, juniper/netscreen, nortel/contivity, nici unul nu ridica o interfata gen ipsec0. cisco ofera solutia pe care am spus-o mai devreme (ipsec prin gre) pentru situatii d'astea, iar netscreen-ul prin l2tp. si mie mi s-a parut nashpa ideea dupa freeswan, dar asta e... ipsec nu face tunele, ci crypteaza traficul intre 2 gateway-uri (chiar daca pare tunnel pentru enduser). --- Detalii despre listele noastre de mail: http://www.lug.ro/
